当前位置 : 主页 > 编程语言 > c语言 >

远控木马病毒分析

来源:互联网 收集:自由互联 发布时间:2023-08-25
一、病毒简介 SHA256:880a402919ba4e896f6b4b2595ecb7c06c987b025af73494342584aaa84544a1 MD5:0902b9ff0eae8584921f70d12ae7b391 SHA1:f71b9183e035e7f0039961b0ac750010808ebb01 二、行为分析同样在我们win7虚拟机中,使用火绒剑进

一、病毒简介

SHA256:880a402919ba4e896f6b4b2595ecb7c06c987b025af73494342584aaa84544a1

MD5:0902b9ff0eae8584921f70d12ae7b391

SHA1:f71b9183e035e7f0039961b0ac750010808ebb01

1.png

二、行为分析 同样在我们win7虚拟机中,使用火绒剑进行监控,分析行为特征: 3.png2.png

首先是一个拷贝自身,而在后面也被行为检测标蓝;

4.png

其次就是大量的枚举进程;

5.png

这里启动了释放的文件,并设置了自启动;

6.png

结合这里,获取信息没有和服务端取得联系,IP已经失效,所以在火绒剑中也没有检测到网络链接。

三、逆向分析 拖进DIE查查壳,显示无壳:

7.png

看看导入表信息:

8.png11.png10.png9.png

这里有检索主机信息之类的函数,还有网络链接之类的函数,基本可以确定大致行为,结合这里,在IDA中静态分析,进入winmain,F5看伪代码: 13.png15.png14.png16.png12.png

以上就是main函数主体,接下来对关键函数进行详细分析:

17.png

3.1、sub-406A30

进入函数内部,是俩个函数: 18.png19.png

根据特征,很明显这里是rc4的解密,当然我是动态调试直接看他解密结果,解密一个服务名,一个IP地址,SuperProServer和127.0.0.1;

3.2、sub-4056C0 20.png

这里获取当前进程路径; 21.png

这里生成随机数并进行拼接,生成一个路径,创建一个文件并写入内容;

22.png

这里进行shell启动进程,可见这里是一个拷贝自身并启动的操作;

3.3、sub-406B50

23.png

进入此函数,内部有函数sub_407660,根据传参是rundll32.exe,进入此函数:

24.png

可以看到这里是进程遍历,返回进程信息,回到上一层:

25.png

这里是启动命令行杀掉rundll32.exe,返回主函数;

3.4、sub_4070E0 26.png

进入函数内部:

28.png27.png

可以看到这里是设置病毒为服务并设置相关注册表版本类信息;

3.5、sub-407660

29.png

这里是循环三次,找病毒本体,通过函数40766寻找,找到后进行启动,进入函数内部:

30.png

这里是创建快照找相应进程的操作,而传入的参数就是Terms.exe;

3.6、sub_405480

31.png

这里是设置自启动;

3.7、sub_406B10 跟进此函数:

32.png

3.7.1、sub_406290

33.png

进入406170:

34.png

这是一套令牌提权的组合拳,返回上一层; 35.png

这里是拿到句柄复制句柄;

3.7.2、sub_4066C0 这边就开始和服务通信sub_401470: 36.png

sub_401660:

38.png37.png39.png

这里有一个开辟线程,进入回调函数发现,是和服务器链接,接受内容,并通过rc4解密,在自身开辟空间,进行写入操作,后面这块分析比较粗浅,但大体内容就是这些;

【本文来源:美国服务器 https://www.68idc.cn 复制请保留原URL】
上一篇:5.13 汇编语言:仿写For循环语句
下一篇:没有了
网友评论